【特別企画】

MACアドレス制限は"効果ゼロ" - NetAttest EPSで見直す企業無線LANのセキュリティ

スマートフォンやクラウドの進展により、企業の無線LAN環境のセキュリティ対策が急務になりつつある。特に、危惧されるのは、MACアドレスフィルタリングやPSK認証といった穴の多い技術を使い続けることのリスクだ。本当に必要とされる無線LANセキュリティ対策は何か。ソリトンシステムズが提供する認証サーバアプライアンス「NetAttest EPS」の機能を紹介しながら、求められる無線LANセキュリティの姿を提案したい。

ソリトンシステムズが提供する認証サーバアプライアンス「NetAttest EPS

無線LANセキュリティ 特集記事


1回目:MACアドレス制限は"効果ゼロ" - NetAttest EPSで見直す企業無線LANのセキュリティ(本記事)
2回目:Coming Soon(7月下旬 掲載予定)
3回目:Coming Soon(8月下旬 掲載予定)

無線LANセキュリティ 特集記事


【連載特別企画】今さら聞けない「無線LANセキュリティの基本」











本当は怖いMACアドレスフィルタリング

ネットワーク機器に割り当てられたMACアドレスを使ってネットワークへのアクセス制限を行うMACアドレスフィルタリング。家庭用ルーターなどでは無線LANセキュリティの1つの機能のように扱われ、ときには「MACアドレス認証」といった認証方式の1つのような言い方をされることもある。このため、「完全ではないものの一定の効果は期待できるセキュリティ機能」などと理解している方も多いのではないだろうか。

しかし、MACアドレスフィルタリングは、昨今の企業を対象にしたサイバー攻撃に対して、セキュリティ上、ほとんどなんの意味も持たないことがわかっている。「効果は限定的」「無いよりはまし」といったレベルではなく、場合によっては「MACアドレスフィルタリングを設定して安心している」ことが、セキュリティ管理の甘いネットワークであることを攻撃者に対して通知する機会を与えることにもつながっている。

MACアドレスフィルタリングが"危ない"理由の1つは、なりすましが容易いことだ。MACアドレスはネットワーク上で暗号化されないため、無線LANのパケットをキャプチャすれば外部から丸見えだ。MACアドレスを変更できるツールはインターネットで配布されており簡単に入手できる。つまり、悪意を持った攻撃者は、それらツールを使ってMACアドレスを偽装するだけで、フィルタリングをあっさり、かいくぐることができるのだ。

ネットワーク上で暗号化されないため、無線LANのパケットをキャプチャされるだけでMACアドレスは特定されてしまう

もちろん、かいくぐった後は暗号化通信の解読などが必要だ。ただ、MACアドレスフィルタリングを「セキュリティ対策の一環」として実施し安心している企業であるなら、そのほかのセキュリティ対策も不十分であることが予想できる。攻撃者はその隙をついて、WEPなどの簡単に解読できる暗号方式を使っていないか、簡単なパスワードを使いまわしていないかを調べていくわけだ。

昨今の標的型サイバー攻撃を見ればわかるように、攻撃者の手法は巧妙化の一途をたどるばかりだ。いまこそ、攻撃者を利する対策ではなく、企業無線LANについて、本当に効果のあるセキュリティ対策を実施すべきだ。

遅れが目立つ無線LANのセキュリティ対策

本来望まれる企業無線LANのセキュリティ対策とはどのようなものだろうか。それを知るために、現在の企業無線LANについて、取り巻く環境の変化、リスク、必要な対策などの点から振り返ってみよう。

現在の企業無線LANにおける、環境の変化(左)と技術面でのリスク変化(右)

環境の変化としては、スマートフォンやタブレットの急速な普及が大きいと言わざるを得ない。私物PCの持ち込みやUSBメモリへのコピーなども長らく危険性は指摘されながらも、ようやく禁止する企業が増えてきた。しかし、私物スマートフォンを社内で使うことに対してはまったく配慮されていない現状がある。USBメモリを会社PCに挿すことを諫める人は居ても、私物スマートフォンの利用に注意を払う人はほとんどいない。情報漏洩のリスクという点では同じであるにも関わらず社内制度やポリシーが追いついていないのだ。

同様に技術面でのリスクも大きく変化している。MACアドレスフィルタリングやWEPによる暗号化や、SSIDのステルス化(SSID Broadcast OFF、ANY接続拒否)、WPA2-PSKによる通信。従来は代表的な無線LANのセキュリティ対策に挙げられていたものだが、現在では十分なセキュリティが確保できない。

WEPはもはや論外としてSSIDのステルス化も、アクセスポイントからのビーコンにはSSID情報は入っていないものの、無線クライアントからはSSID情報を取得することができる。ツールを利用すれば、アクセスポイントのSSIDも取得可能だ。

一般に、より強固だと思われているWPA2-PSKにも"罠"がある。PSK(プレシェアードキー)は共通のキーであり、設定した端末上で簡単に再表示して確認することができる。PSKがわかってしまえば、無線キャプチャでリアルタイムに復号が可能になる。

運用面でも、いわゆるブラックリスト登録ができないことがネックになる。PSKが漏れると、玄関のカギをなくしたも同じ。登録されたすべての端末のPSKを変更する必要が出てくる。100人を超えるような規模の企業にとっては、これが大きな運用負荷にもなる。いずれも企業にとっては致命的な脆弱性と言わざるを得ない。 このように、スマートフォンやクラウドを利用する環境が整うなか、制度面でも技術面でも、企業の無線LANのセキュリティ対策には遅れが目立つというのが現実なのだ。

求められるのはIEEE 802.1X認証

では、具体的にどんな対策を講じればよいのか。結論を先に述べれば、企業無線LANで求められるのは、IEEE 802.1X認証に基づいたセキュリティ対策であるということだ。実際に、今まで述べてきたMACアドレス、共通鍵での認証に対する懸念からIEEE 802.1X認証は普及しはじめている。

IEEE 802.1X認証とは、認証されていないクライアントからの通信をすべて遮断し、認証されたユーザーにのみ通信を許可する方式だ。802.1Xに対応したLANスイッチと、RADIUS認証サーバなどで構成され、EAP(Extended authentication protocol)という認証プロトコルを用いる。IDやパスワードを使った「EAP-PEAP」認証や、電子証明書を使った「EAP-TLS」などがある。

具体的な認証方式と特徴を示したのが下図だ。このうち、企業無線LANでは、ユーザー認証+端末認証が可能で、不許可端末の接続も制御できるEAP-TLSが望ましい。PEAP認証では私物スマホの制御ができないために証明書への関心が高まり、実際TLS認証の採用も増えてきている。暗号方式は、WPA/WPA2を用いる。

暗号方式の種類と特徴(資料提供:ソリトンシステムズ)

IEEE 802.1X認証の普及度はそれほど高くないようだ。だが、企業への無線LANの普及を受けて総務省が2013年1月30日に公開した手引書「企業等が安心して 無線LANを導入・運用するために」 では、認証方式としてのPSK認証の短所と、IEEE 802.1X認証の長所を、次のように解説している。

「PSK認証では認証サーバが必要ないなど採用は容易であるが、同一のアクセスポイントに接続する端末では共通のパスフレーズを設定するため、パスフレーズが漏えいした場合には、なりすまして接続される危険性がある。また、パスフレーズを個々の端末に自動的に配布する仕組みがないため、接続する端末の数が増えると、パスフレーズの設定、更新等の管理及び運用が煩雑になる」(手引書12ページ)

「IEEE 802.1X認証では認証サーバが必要となるが、端末を認証してからネットワークへの接続を許可するため、許可されていない端末が無線LANに接続されることを防止することができる。無線LANを利用する端末の数、業務の特性等に応じて認証方式を検討する必要があるが、基本的には、 端末認証が行えるIEEE 802.1X認証を利用することが適当である」(同12ページ)

今日の状況を見れば、企業の無線LANについてIEEE 802.1X認証を用いたセキュリティ対策を実施することは必須と言ってもいいだろう。

企業に必要なセキュリティを簡単に設定できるNetAttest EPS

もっとも、ここで現実的な課題に直面する。システムの設計や運用をどう行っていくかだ。IEEE 802.1X認証によるEAP-TLSを実現するためには、構成要素として、RADIUSサーバ、プライベート証明書を発行するCA(認証局)サーバ、発行された証明書を配布する仕組み、正しい端末にIPを払い出すDHCPサーバなどが必要になる。また、各サーバの情報をバックアップする仕組みや、これらのシステムを設計、運用、障害復旧するための手順やノウハウも必要だ。ざっと整理したのが下図だ。

IEEE 802.1X認証に必要な構成要素

IEEE 802.1X認証の重要性は理解し、無線LANのセキュリティを正しく確保しようとすると、こうしたシステム構築の手間が大きな障害になってくるのだ。では、この課題にどう対応すればいいのか。そこで、おすすめしたいのが構築や運用が簡単なアプライアンス製品だ。

RADIUSアプライアンス 国内シェアNo.1の「NetAttest EPS」

ソリトンシステムズの「NetAttest EPS」は、ネットワーク認証に必要な機能を1台に集約し、特別な知識がなくても短時間で導入可能なアプライアンス製品として市場から高く評価されている製品だ。IEEE 802.1X認証の導入に最適なアプラアンス製品になっている。

NetAttest EPSの特徴(資料提供:ソリトンシステムズ)

上述してきたように、日本におけるセキュアな無線LAN環境の構築は、急務と言っても過言では無い。黎明期からハードウェアからソフトウェアまで広くLAN周辺の技術を追求してきたソリトンシステムズ。同社のNetAttest EPSはシリーズ13年の歴史を誇り、累計1万台以上の実績がある。設計から運用面まで、ネットワーク技術を知り尽くした同社のサポートも大きな魅力になるだろう。

無線LANセキュリティ 特集記事
1回目:MACアドレス制限は"効果ゼロ" - NetAttest EPSで見直す企業無線LANのセキュリティ(本記事)
2回目:Coming Soon(7月下旬 掲載予定)
3回目:Coming Soon(8月下旬 掲載予定)

無線LANセキュリティ 特集記事
【連載特別企画】今さら聞けない「無線LANセキュリティの基本」


(マイナビニュース広告企画  提供:株式会社ソリトンシステムズ)



人気記事

一覧

イチオシ記事

新着記事